goo blog サービス終了のお知らせ 

日刊ドットコムマスター★

ドットコムマスターに合格するためのブログです。

第21回 第2部 第51問

2013-07-17 10:12:05 | 第4章

NAPTを利用することにより、簡易的なファイアウォールの効果を期待できる。この理由として、もっとも適切なものを1つ選びなさい。

a. 外部からのパケットを、すべて特定のIPアドレスのホストに転送するため
b. 外部からのパケットを、内部ネットワークとは別に設けたセグメントのホストに接続するため
c. 外部からの攻撃を検知し、攻撃元からのアクセスを自動的に遮断するため
d. 外部からのパケットを、変換表に登録されたIPアドレス及びポート番号に対する通信のみ内部ネットワークに転送するため

コムたろう「NAPTって前にも聞いたことあるような無いような・・・。」


ドット先生「NAPTの基本的な機能は覚えてるかな?」


コムたろう「えっと・・・複数のPCをインターネットにつなぐ時に、各PCのプライベートIPアドレスを一つのグローバルIPアドレスに変換するんだっけ?」

ドット先生「そうだよ!よく覚えていたね。今回の設問はその応用編になるんだ。」
「まずNAPT機能が備わっている機械っていうと何か分かるかな?」


コムたろう「ルーターだよね?」


ドット先生「そう!ルーターには変換表というものが中に入っていてその変換表を元に外部から来たパケットを内部に転送するかどうか決める決定権があるんだ!」

コムたろう「変換表がどんなふうになっているのか、もっとイメージしやすく教えてー。」



~~~~~~~~~~~~~~~~~~~~~~

ドット先生「良いだろう。」
「まずは、前提として、LANの内側にはPCが複数あるという事をしっかりイメージしておいてね。」

コムたろう「それぞれのPCには、別々なプライベートIPアドレスが設定されているんだよね。」


ドット先生「そうだね。でもプライベートIPアドレスじゃインターネット上のサーバーや端末とは通信できないから、グローバルIPアドレスが必要だ。」

コムたろう「ルーターのWAN側アドレスに一旦変換されるんだよね。」


ドット先生「よく知ってるじゃないか。」
「でも複数のPCが同時に通信していて、しかもそれぞれのPCで同じサイトを見たらどうなるかな?」

コムたろう「う~ん、サーバーから返ってくるデータはルーターのWAN側アドレスに向けて返ってくるから、LAN内部のどのPCにデータを渡せば良いかルーターが困っちゃうね。」

ドット先生「だからIPアドレスの変換だけじゃなくて、ポートも利用して管理テーブルに記録するんだ。それが変換表なんだ。」

コムたろう「だんだん、具体的になってきたね。」


ドット先生「たとえば『PC①のwebブラウザ』はプライベートIPアドレス①のポート①でデータが返ってくるのを待っていて、『PC②のブラウザ』はプライベートアドレス②のポート②でデータが返ってくるのを待っているとするよね。」
「ルーターでは、それぞれのIPアドレスをルーターのWAN側のIPアドレスに変換して、更にポートの番号も任意のポート番号に変換しちゃうんだ。」
「そして、それを変換表に記録する。ここ重要ね。」

コムたろう「記録してないと後で困るんだね。」


ドット先生「たとえば、さっきの例だとPC①のプライベートIPアドレス①とポート①はルーターのWAN側IPアドレスとルーターのポート③に、PC②のプライベートアドレス②とポート②はルーターのWAN側IPアドレスとルーターのポート④に。」

コムたろう「へぇ~、跡形もなく変わっちゃうんだね。」


ドット先生「跡形もなく変えちゃうか、重複しない限りは極力変えないかはルーターの機種によって違うらしいけど、まぁここでは分かりやすくガラっと変えちゃうとしよう。」
「でも変換表には、こういう内容で変換しましたってのが記録されているから、サーバーからルーターのポート③にデータが返ってくれば、変換表から逆にたどって、これがPC①のポート①に返せば良い事がわかるんだ。」

コムたろう「なるほど~、それで無事PC①のブラウザにデータが届くんだね。」


ドット先生「ウラを返せば、この変換表に乗ってないポート宛てに外部から通信が来ても通さないんだ。」

コムたろう「それが簡易ファイアウォールの効果って事?」


ドット先生「そうだね。ファイアウォールは簡単に言うとPCとインターネットの間に設置される外部からの侵入者(不正パケット)を防ぐ仕組みの事だけど、NAPT機能でも万全ではないにしてもある程度は不正に入ってこようとするパケットを防げるって事だね。」

コムたろう「なるほど!じゃあdは正解なんだね!」


ドット先生「そうだね!」



~~~~~~~~~~~~~~~~~~~~~~


ドット先生「この他に外部から入ってくる通信にLAN内のPCをさらさないようにする簡易DMZという機能もちょっと説明しておこう。」

コムたろう「また難しい名前が出てきた・・・。」


ドット先生「ははは。詳しいことを説明すると混乱するだろうから簡単に説明すると、簡易DMZは外部から入ってくるパケットを特定のホストに転送をする仕組みなんだ。」

コムたろう「そうすると、どうなるの?」


ドット先生「外からは転送先のホスト(公開用のサーバーとか)だけが見えるようになるんだ。」
「クレーマーからの電話は全て本社の担当者に転送するみたいな感じだね。」

コムたろう「選択肢の a で言ってるのは、これのことかぁ~。」



ドット先生「ただし、『簡易』とついていることからもわかるように、本格的なDMZとはちょっと違ってね。」
「本格的なDMZはLAN内部とインターネットの中間に設置されて、LAN内部とも独立した空間になるんだけど、簡易DMZの方はLAN内部の特定のホストを公開しちゃうので、そのホストが乗っ取られるとLAN内の全てのホストが危険にさらされる可能性もあるんだ。」

コムたろう「え~!?じゃあセキュリティ関しては特に注意が必要だね。」


ドット先生「ちなみに、簡易DMZで可能なのは選択肢a,bだけどcの選択肢に攻撃検知機能という言葉もあるね。」

コムたろう「うわー!またわからない用語がでてきたぁ・・・。」


ドット先生「一度に言うと分からなくなるだろうから今日はここまでにしよう!攻撃検知機能については過去問の解説にも説明があるからよく読んでおくように!」


コムたろう「わかりました~。」






【 第21回 第2部 第51問 解答&解説 】
[解答]d
[解説]
a. 誤り。簡易DMZ機能の説明である。
b. 誤り。簡易DMZ機能の説明である。
c. 誤り。攻撃検知機能の説明である。
d. 正しい。NAPTによる簡易ファイアウォール機能の説明である。NAPT有効時には、変換表に登録されているポート以外への外部からのアクセスは、内部ネットワークに転送されない。